2024中国企业国际化进程中的数字风险洞察报告

中国企业国际化进程中的数字风险洞察报告20241中国企业国际化进程中的数字风险洞察报告中国企业国际化进程中的数字风险洞察报告目 录前言一、研究背景 1(一)中国企业国际化进程加快 1(二)数字博弈成为大国竞争常态 2(三)数字风险成为中国企业国际化进程中的重要挑战.(四)对数字风险的理论研究与实践应对尚不成熟 二、中国企业国际化进程中数字风险的分类 5(一)外部环境相关数字风险 5数字监管风险 5数据法规风险 8(二)企业经营相关数字风险 8数字合规制度风险 8数字素养能力风险 10(三)技术应用相关数字风险 数字基础设施风险 数据信息安全风险 12三、中国企业应对国际化进程中数字风险的实践经验 15(一)华为：强化数字风险防控组织保障 15(二)阿里巴巴：建设数据隐私及网安防护体系 17(三)吉利：健全业务合规管理体系 19四、提高中国企业数字风险应对能力的建议 22(一)强化公共关系管理，营造友好经营环境 22(二)提升经营管理水平，加强数字风险管控 22(三)培育人员数字能力，规避数字风险漏洞 24(四)关注信息安全保障，构建数字风险壁垒 25一、研究背景(一)中国企业国际化进程加快在自身经营需求的驱使下，中国企业积极开拓海外市场。中国加入世贸组织后，国内竞争日益国际化，竞争空前激烈，迫使部分企业将目光投向国外市场，通过开展跨国经营和海外投资在国际市场上占有一席之地3。随着中国经济的快速崛起，越来越多的中国企业开始关注全球市场，大型企业及中小型企业都积极寻求跨国经营和海外投资的机会。中国企业的出海战略更加多元化。在过去，企业主要以资源获取为核心目标，而如今更注重技术创新、品牌建设和市场拓展，积极参与沿线国家的基础设施建设、贸易合作和文化交流，形成全球化发展的新格局。实践证明，在全球化竞争中，一些中国企业已经成功实现国际品牌的1中国企业国际化进程中的数字风险洞察报告中国企业国际化进程中的数字风险洞察报告PAGEPAGE10塑造，树立了良好的企业形象，为更深层次的全球合作奠定了基础。图12008年-2022年中国对外直接投资流量（亿美元）素材来源：开源信息整理(二)数字博弈成为大国竞争常态党的二十大报告指出，当前正处于世界百年未有之大变局之中。国际局势的变动主要体现为以中美博弈为代表的大国竞争，这一竞争涵盖了经济、科技等多个领域，深刻改变着全球地缘政治格局。中美之间的贸易争端潜在引发全球供应链的断裂和重新配置，给国际经济体系带来了巨大冲击。全球经济竞争也在科技创新、产业链布局等方面呈现出激烈的态势，尤其在人工智能、6G、量子计算等领域更为突出，主要表现在如下两个方面：首先，各国纷纷投入巨额资金用于前沿数字技术的研发和应用，以保持领先地位。其次，数字博弈已逐步扩展至网络安全、全球舆情等多个层面，部分国家通过网络攻击、信息操纵等手段，试图在国际舆论场上占据主导地位，推动自身价值观和利益。再者，大国间数字博弈所带来的技术差距将进一步拉大数字鸿沟4，一些国家可能因为缺乏相应的技术基础和资源而被边缘化。(三)数字风险成为中国企业国际化进程中的重要挑战全球数字化浪潮给风险的内涵和传播方式赋予了新的特征。全球数字经济增长速度快、发展潜力大，日益成为各国经济发展的重要动能和国民经济的重要支柱5种背景下，风险的内涵和传播方式都发生了很大变化：与数字化因素强关联的风险将更快地在全球范围内传播蔓延，且将带来更多不确定性。数字风险在全球范围内的传播更为迅速。全球数字环境互联互通的现状使得一个国家或组织的风险迅速传播到其他地区，例如某一地区的服务器瘫痪，可能立刻导致其他地区的相关服务不可访问等。数字风险将带来更多的不确定性。数字化时代，由于企业、组织的业务和运营越来越依赖数字技术，信息的价值也随之增加，一旦发生信息泄露、数据破坏等风险，将给企业和组织带来较大损失。(四)对数字风险的理论研究与实践应对尚不成熟关于数字风险概念界定尚未达成共识。当前研究中明确提出数字风险概念并进行定义的文献十分有限，如陈伟（2021）YadongLuo（2022）在研究中提出过相关定义。对数字风险的定义虽然未有普遍共识，但也有一些共同点，跨国经营的中国企业对数字风险的实践应对仍然处于探索之中。在全球重视数据安全的背景下，中国企业为应对不同国家的数据合规要求、处理日益严重的信息安全问题等，采取了开展专项合规工作、升级技术设备等解决方案，但对于跨国经营的数字风险尚无系统性分析，缺乏事前的研究与机制规划，更多的是亡羊补牢的被动操作。二、中国企业国际化进程中数字风险的分类数字风险的多样性和复杂性使得对其进行系统研究成为必要，但目前对数字风险的理论研究仍在探索中。通过对已有文献及企业实践的梳理，提出企业国际化数字风险的分类体系：根据风险来源，中国企业国际化经营面临着由外部环境、企业经营、企业技术应用引起的三大类、六小类数字风险。图2企业国际化经营数字风险的分类(一)外部环境相关数字风险数字监管风险跨国数字制裁风险此类风险指由于部分国家在泛数字领域对其他国家或6CMCCNS-CMIC8制裁中国企业无法购买三星或台积电的高端芯片代工服务。合作等封锁逐渐升级，泛数字行业制裁与管制风险增加。图32021-2023年被列入美国各“黑名单”的中国企业数素材来源：开源信息整理东道国监管风险施，而导致企业业务运营、投资并购等方面受到影响。2021Pulsic202332022/2023开展相关业务开展构成阻碍。数据法规风险经营受到影响的情况。数据保护条例（CLOUD）则确立适用过程中产生了直接的法律冲突920152018内发生10。(二)企业经营相关数字风险数字合规制度风险此类风险指由于企业经营过程中数据合规审查、信息安全检查、内容审查等环节缺失或流程不畅，缺乏数字风险应急应对机制等，导致企业在数据和信息管理上出现问题从而造成损失。首先，缺少处理网络信息安全等数字风险的顶层设计，型国有企业为例，网络安全能力分散在各个部门、团队中，1120212612对称的影响，执行力度较弱13。2021App105App应当最小化收集个人信息。数字素养能力风险扮演着非常重要的角色，Verizon2023（DBIR）中指出，202274涉及人为因素。14难以向优秀技术人才提供与市场竞争力相匹配的薪酬和晋升通道15486例仅为22.2，经营管理人员占比却高达38.6。象。数字化“牵头人”在宏观上预见预防潜在的安全隐患，而中国企业设置这一职位的情况不多见17调研报告显示仅有30.2的中国政企机构设立首席过设置这一岗位。18(三)技术应用相关数字风险数字基础设施风险件设备故障等，给企业运营造成损害的情况。部分地区的数字基础设施薄弱、健壮度不足、老旧设备多，可用性存在问题，在此类地区开展业务可能面临IDC数据信息安全风险此类风险指由于企业的IT系统建设不完备、数据平台前全球数据安全的主要挑战。IBM构和企业造成的损失在2020至2022年间上涨近13，创下17小觑。企业如由于业务需要而频繁进行跨境数据传输，将显著提高数据和信息安全风险。不同业务类型的企业，由于跨境数据交互频率和规模、数据敏感程度等差异，面临不同程度的数据和信息安全风险。金融、科技等行业企业由于业务性质特殊，数据留存量大、信息流跨境交流密集，数据失窃、泄露、篡改、破坏等风险暴露程度明显高于业务信息流跨境少的传统企业。IT（拥塞（异常（丢失（A201752220202022络行为23。中国企业自身拥有关键技术与设备知识产权的程度不EDAERP为信息基础设施的信息系统安全。三、中国企业应对国际化进程中数字风险的实践经验本文基于公开信息，从人员组织、技术应用及合规管理三个维度出发，梳理具有丰富出海经营经验、在应对数字风险方面有系统化举措的企业做法，供中国企业国际化业务经营借鉴。(一)华为：强化数字风险防控组织保障通过体系化的组织建设最大程度降低上述风险。话和沟通的窗口，并对所在海外市场所面临的数字风险进行量化分析和对标研究24，为业务部门提供风险防控信息参考，也为战略部门提供研判全球风险的独家资料。二是设立法务及合规团队，将审查节点全面嵌入业务流程，预防业务经营中的数字风险。华为的法务及合规团队由公司业务所涉及的法律风险、法律环节及所需的法律支持，形成总体的风险视图25三是成立网安团队，防控技术类数字风险。该团队由网以提高产品和解决方案的安全性27。作为公司最高级别的网络安全与隐私保护战略。该委员会由全球网络安全与用户隐私保护官（GSPO）(二)阿里巴巴：建设数据隐私及网安防护体系设应对上述风险。集团安全部牵头打造安全体系。阿里巴巴集团安全部负责阿里巴巴集团的整体安全，在安全基建、应用程序安全、AI29程师（SiteReliabilityEngineer，SRE）团队，主要由研SRE“151030SRE用性31。制定分层的数据治理策略。结合数据类型、安全要求等级等因素，阿里巴巴将跨境业务分为区域化架构方案、隐私数据封闭方案和个人数据封闭方案。在区域化架构方案中，对数据进行无针对性隔离，同时针对按需过滤区域机房；在隐私数据封闭方案中，隔离各区域中的隐私数据，中心机房无区域非脱敏隐私数据；在个人数据封闭方案中，隔离各区域中的个人数据，中心机房无区域非脱敏隐私数据32。不同，部分国家缺乏可靠的网络基建，可能会存在断光纤、IAAS61317AZ)的海外PAAS技术挑战33。图4阿里巴巴安全架构素材来源：阿里巴巴集团公司官网(三)吉利：健全业务合规管理体系安全风险，主要通过业务合规管理实践应对上述风险。261034重要的作用。持续推动数据及隐私合规保障。在数据合规方面，吉利2021以确保它们符合个人信息及隐私方面的合规要求。为适应集团战略门员工对出口和贸易管制合规风险的意识和专业能力。将合规工作成果纳入全球绩效评价。为强化合规管理，（2022式，实现合规风险闭环管理35。图5吉利全球隐私合规准则及政策素材来源：吉利公司官网四、提高中国企业数字风险应对能力的建议(一)强化公共关系管理，营造友好经营环境境，需更加谨慎地做好对外沟通工作。做好本地化政府关系工作。在每个海外市场设立专业的本地化政府关系团队，该团队不仅需要了解当地政治体系、法规，还要深入理解当地文化和社会动态，与当地政府和相关机构建立紧密的联系。这一职能条线的目的在于建立积极的合作关系，推动与当地政府的对话，使企业利益得到更好的保障。建立紧急危机沟通计划。在数字风险事件发生前，企业变动或出现风险事件时能够快速而有序地与当地政府进行沟通，及时防范潜在的负面影响，维护企业的声誉。参与数字领域行业规则制定。拥有数字领域业务优势的企业应积极争取国际行业协会会员身份，参与所在行业的国际标准制定，组织、出席行业国际会议，打造全球影响力，提高自身产品与全球生态的兼容性。(二)提升经营管理水平，加强数字风险管控企业应从战略、经营流程、合规等多个层面采取手段，全面提升经营管理水平，防范数字风险。各地建立信息同步的信息收集网络，实时获取本地政治、经济、法规等信息，设立定期的信息分享机制，确保总部和各地分支机构之间能够及时共享数字风险信息；在规划上，可根据所在行业、业务性质及国家政策等因素综合考量，对当地业务类型进行审慎选择，避免开展数字风险过高的业务。在企业管理层面，建立完备的数字风险应对流程及机制。首先，应该结合当地及全球政治环境、企业业务类型、经营状况、技术水平、当地数字基建情况等，列出数字风险清单并制定预案。在进行海外业务流程设计时，应由合规与法务部门牵头，拉通市场、技术、人力、招采等各部门，将数字风险检查环节嵌入各个环节。在风险发生后，企业应立即按照预案召集由信息安全、法律、技术和公关等相关部门的代表组成的虚拟团队，评估和调查数字风险事件的性质、范围和影响，制定并执行相应的风险管控措施。查等工作，并对特别突出的数字风险领域开展专项行动。定期审查和解读适用于行业和地区的法规，确保对其有准确的理解，不断更新所在地法律动态库。各业务部门与职能部门合作，识别和梳理法律合规风险点。基于法规分析和风险评估，制定相应的合规策略，确保业务活动在法律框架内合法开展。将全球合规纳入公司的价值观中，通过领导者的示范行为和正面激励，培养员工对合规的认同和遵循，通过组织内部宣传活动帮助员工了解合规的重要性，宣贯法规要求和公司的合规政策。(三)培育人员数字能力，规避数字风险漏洞队伍。提升全体人员的数字风险防范意识。实施定期的数字风真实场景，让员工了解如何在风险发生时迅速做出反应。强化对关键岗位员工的数字风险培训。面向与客户数据、企业机密等敏感信息打交道的非技术岗位员工，提供数据隐私、合规政策、重点国家数字法规、全球政治环境等主题的提升安全岗位员工的数字技术能力。在信息安全及网络安全团队配置具有专业背景的员工，确保团队能够深入理解和处理信息安全问题。通过外聘及外包等方式获取外部专家资源应对数字风险，尤其是安全专家、数据保护专家、威胁情报分析师、数字安全架构师等。(四)关注信息